中國核心期刊目錄蜜罐信息采集技術(shù)

　　發(fā)表學(xué)術(shù)論文網(wǎng)辦的非常成功，極具口碑。在這里，你可以找到最具時事性的文章和最具代表性的各類文章。當(dāng)然，因?yàn)槊赓M(fèi)和開源，大家都可以學(xué)習(xí)、借鑒和共同使用，如果你需要專屬于個人的原創(chuàng)文章，請點(diǎn)擊鏈接獲得專業(yè)文秘寫作服務(wù)。

　　摘要 蜜罐是一種主動防御的網(wǎng)絡(luò)安全技術(shù)，可以吸引黑客的攻擊，監(jiān)視和跟蹤入侵者的行為并且記錄下來進(jìn)行分析，從而研究入侵者所使用的攻擊工具、策略和方法。該文介紹蜜罐技術(shù)的基本概念，分析了蜜罐的安全價值，詳細(xì)研究了蜜罐的信息收集技術(shù)，同時也討論了蜜罐系統(tǒng)面臨的安全威脅與防御對策。

　　關(guān)鍵字 蜜罐，交互性，入侵檢測系統(tǒng)，防火墻

　　1引言

　　現(xiàn)在網(wǎng)絡(luò)安全面臨的一個大問題是缺乏對入侵者的了解。即誰正在攻擊、攻擊的目的是什么、如何攻擊以及何時進(jìn)行攻擊等，而蜜罐為安全專家們提供一個研究各種攻擊的平臺。它是采取主動的方式，用定制好的特征吸引和誘騙攻擊者，將攻擊從網(wǎng)絡(luò)中比較重要的機(jī)器上轉(zhuǎn)移開，同時在黑客攻擊蜜罐期間對其行為和過程進(jìn)行深入的分析和研究，從而發(fā)現(xiàn)新型攻擊，檢索新型黑客工具，了解黑客和黑客團(tuán)體的背景、目的、活動規(guī)律等。

　　2蜜罐技術(shù)基礎(chǔ)

　　2.1 蜜罐的定義

　　蜜罐是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來吸引攻擊，從而在黑客攻擊蜜罐期間對其行為和過程進(jìn)行分析，以搜集信息，對新攻擊發(fā)出預(yù)警，同時蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)。

　　蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)漏洞、分析分布式拒絕服務(wù)(DDOS)攻擊等方面是很有價值的。蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的安全性，將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測系統(tǒng)(IDS)、防火墻(Firewall)、殺毒軟件等結(jié)合使用，可以有效提高系統(tǒng)安全性。

　　2.2 蜜罐的分類

　　根據(jù)蜜罐的交互程度，可以將蜜罐分為3類：

　　蜜罐的交互程度(Level of Involvement)指攻擊者與蜜罐相互作用的程度。

　�、� 低交互蜜罐

　　只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個仿真服務(wù)，在特定的端口監(jiān)聽記錄所有進(jìn)入的數(shù)據(jù)包，提供少量的交互功能，黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動作。低交互蜜罐上沒有真正的操作系統(tǒng)和服務(wù)，結(jié)構(gòu)簡單，部署容易，風(fēng)險很低，所能收集的信息也是有限的。

　　⑵ 中交互蜜罐

　　也不提供真實(shí)的操作系統(tǒng)，而是應(yīng)用腳本或小程序來模擬服務(wù)行為，提供的功能主要取決于腳本。在不同的端口進(jìn)行監(jiān)聽，通過更多和更復(fù)雜的互動，讓攻擊者會產(chǎn)生是一個真正操作系統(tǒng)的錯覺，能夠收集更多數(shù)據(jù)。開發(fā)中交互蜜罐，要確保在模擬服務(wù)和漏洞時并不產(chǎn)生新的真實(shí)漏洞，而給黑客滲透和攻擊真實(shí)系統(tǒng)的機(jī)會。

　�、� 高交互蜜罐

　　由真實(shí)的操作系統(tǒng)來構(gòu)建，提供給黑客的是真實(shí)的系統(tǒng)和服務(wù)。給黑客提供一個真實(shí)的操作系統(tǒng)，可以學(xué)習(xí)黑客運(yùn)行的全部動作，獲得大量的有用信息，包括完全不了解的新的網(wǎng)絡(luò)攻擊方式。正因?yàn)楦呓换ッ酃尢峁┝送耆�開放的系統(tǒng)給黑客，也就帶來了更高的風(fēng)險，即黑客可能通過這個開放的系統(tǒng)去攻擊其他的系統(tǒng)。

　　2.3蜜罐的拓?fù)湮恢?/p>

　　蜜罐本身作為一個標(biāo)準(zhǔn)服務(wù)器對周圍網(wǎng)絡(luò)環(huán)境并沒有什么特別需要。理論上可以布置在網(wǎng)絡(luò)的任何位置。但是不同的位置其作用和功能也是不盡相同。

　　如果用于內(nèi)部或私有網(wǎng)絡(luò)，可以放置在任何一個公共數(shù)據(jù)流經(jīng)的節(jié)點(diǎn)。如用于互聯(lián)網(wǎng)的連接，蜜罐可以位于防火墻前面，也可以是后面。

　�、� 防火墻之前：如見圖1中蜜罐(1),蜜罐會吸引象端口掃描等大量的攻擊，而這些攻擊不會被防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告，只會由蜜罐本身來記錄。

　　因?yàn)槲挥诜阑饓χ�外，可被視為外部網(wǎng)絡(luò)中的任何一臺普通的機(jī)器，不用調(diào)整防火墻及其它的資源的配置，不會給內(nèi)部網(wǎng)增加新的風(fēng)險，缺點(diǎn)是無法定位或捕捉到內(nèi)部攻擊者，防火墻限制外向交通，也限制了蜜罐的對內(nèi)網(wǎng)信息收集。

　�、� 防火墻之后：如圖1中蜜罐(2)，會給內(nèi)部網(wǎng)帶來安全威脅，尤其是內(nèi)部網(wǎng)沒有附加的防火墻來與蜜罐相隔離。蜜罐提供的服務(wù)，有些是互聯(lián)網(wǎng)的輸出服務(wù)，要求由防火墻把回饋轉(zhuǎn)給蜜罐,不可避免地調(diào)整防火墻規(guī)則，因此要謹(jǐn)慎設(shè)置，保證這些數(shù)據(jù)可以通過防火墻進(jìn)入蜜罐而不引入更多的風(fēng)險。

　　優(yōu)點(diǎn)是既可以收集到已經(jīng)通過防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者。缺點(diǎn)是一旦蜜罐被外部攻擊者攻陷就會危害整個內(nèi)網(wǎng)。

　　還有一種方法，把蜜罐置于隔離區(qū)DMZ內(nèi)，如圖1中蜜罐(3)。隔離區(qū)只有需要的服務(wù)才被允許通過防火墻，因此風(fēng)險相對較低。DMZ內(nèi)的其它系統(tǒng)要安全地和蜜罐隔離。此方法增加了隔離區(qū)的負(fù)擔(dān)，具體實(shí)施也比較困難。

　　3 蜜罐的安全價值

　　蜜罐是增強(qiáng)現(xiàn)有安全性的強(qiáng)大工具，是一種了解黑客常用工具和攻擊策略的有效手段。根據(jù)P2DR動態(tài)安全模型，從防護(hù)、檢測和響應(yīng)三方面分析蜜罐的安全價值。

　�、� 防護(hù) 蜜罐在防護(hù)中所做的貢獻(xiàn)很少，并不會將那些試圖攻擊的入侵者拒之門外。事實(shí)上蜜罐設(shè)計的初衷就是妥協(xié)，希望有人闖入系統(tǒng)，從而進(jìn)行記錄和分析。

　　有些學(xué)者認(rèn)為誘騙也是一種防護(hù)。因?yàn)檎T騙使攻擊者花費(fèi)大量的時間和資源對蜜罐進(jìn)行攻擊，從而防止或減緩了對真正系統(tǒng)的攻擊。

　　⑵ 檢測 蜜罐的防護(hù)功能很弱，卻有很強(qiáng)的檢測功能。因?yàn)槊酃薇旧頉]有任何生產(chǎn)行為，所有與蜜罐的連接都可認(rèn)為是可疑行為而被紀(jì)錄。這就大大降低誤報率和漏報率，也簡化了檢測的過程。

　　現(xiàn)在的網(wǎng)絡(luò)主要是使用入侵檢測系統(tǒng)IDS來檢測攻擊。面對大量正常通信與可疑攻擊行為相混雜的網(wǎng)絡(luò)，要從海量的網(wǎng)絡(luò)行為中檢測出攻擊是很困難的，有時并不能及時發(fā)現(xiàn)和處理真正的攻擊。高誤報率使IDS失去有效的報警作用，蜜罐的誤報率遠(yuǎn)遠(yuǎn)低于大部分IDS工具。

　　另外目前的IDS還不能夠有效地對新型攻擊方法進(jìn)行檢測，無論是基于異常的還是基于誤用的，都有可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報問題，使用蜜罐的主要目的就是檢測新的攻擊。

　�、� 響應(yīng) 蜜罐檢測到入侵后可以進(jìn)行響應(yīng)，包括模擬回應(yīng)來引誘黑客進(jìn)一步攻擊，發(fā)出報警通知系統(tǒng)管理員，讓管理員適時的調(diào)整入侵檢測系統(tǒng)和防火墻配置，來加強(qiáng)真實(shí)系統(tǒng)的保護(hù)等。

　　4 蜜罐的信息收集

　　要進(jìn)行信息分析，首先要進(jìn)行信息收集，下面分析蜜罐的數(shù)據(jù)捕獲和記錄機(jī)制。根據(jù)信息捕獲部件的位置，可分為基于主機(jī)的信息收集和基于網(wǎng)絡(luò)的信息收集。

　　4.1 基于主機(jī)的信息收集

　　基于主機(jī)的信息收集有兩種方式，一是直接記錄進(jìn)出主機(jī)的數(shù)據(jù)流，二是以系統(tǒng)管理員身份嵌入操作系統(tǒng)內(nèi)部來監(jiān)視蜜罐的狀態(tài)信息，即所謂“Peeking”機(jī)制。

　　⑴ 記錄數(shù)據(jù)流

　　直接記錄數(shù)據(jù)流實(shí)現(xiàn)一般比較簡單，主要問題是在哪里存儲這些數(shù)據(jù)。

　　收集到的數(shù)據(jù)可以本地存放在密罐主機(jī)中，例如把日志文件用加密技術(shù)放在一個隱藏的分區(qū)中。本地存儲的缺點(diǎn)是系統(tǒng)管理員不能及時研究這些數(shù)據(jù)，同時保留的日志空間可能用盡，系統(tǒng)就會降低交互程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會了解日志區(qū)域并且試圖控制它，而使日志文件中的數(shù)據(jù)不再是可信數(shù)據(jù)。

　　因此，將攻擊者的信息存放在一個安全的、遠(yuǎn)程的地方相對更合理。以通過串行設(shè)備、并行設(shè)備、USB或Firewire技術(shù)和網(wǎng)絡(luò)接口將連續(xù)數(shù)據(jù)存儲到遠(yuǎn)程日志服務(wù)器，也可以使用專門的日志記錄硬件設(shè)備。數(shù)據(jù)傳輸時采用加密措施。

　�、� 采用“Peeking”機(jī)制

　　這種方式和操作系統(tǒng)密切相關(guān)，實(shí)現(xiàn)相對比較復(fù)雜。

　　對于微軟系列操作系統(tǒng)來說，系統(tǒng)的源代碼是很難得到，對操作系統(tǒng)的更改很困難，無法以透明的方式將數(shù)據(jù)收集結(jié)構(gòu)與系統(tǒng)內(nèi)核相結(jié)合，記錄功能必須與攻擊者可見的用戶空間代碼相結(jié)合。蜜罐管理 員一般只能察看運(yùn)行的進(jìn)程，檢查日志和應(yīng)用MD-5檢查系統(tǒng)文件的一致性。

　　對于UNIX系列操作系統(tǒng)，幾乎所有的組件都可以以源代碼形式得到，則為數(shù)據(jù)收集提供更多的機(jī)會，可以在源代碼級上改寫記錄機(jī)制，再重新編譯加入蜜罐系統(tǒng)中。需要說明，盡管對于攻擊者來說二進(jìn)制文件的改變是很難察覺，一個高級黑客還是可能通過如下的方法探測到：

　　·MD-5檢驗(yàn)和檢查：如果攻擊者有一個和蜜罐對比的參照系統(tǒng)，就會計算所有標(biāo)準(zhǔn)的系統(tǒng)二進(jìn)制文件的MD-5校驗(yàn)和來測試蜜罐。

　　·庫的依賴性和進(jìn)程相關(guān)性檢查：即使攻擊者不知道原始的二進(jìn)制系統(tǒng)的確切結(jié)構(gòu)，仍然能應(yīng)用特定程序觀察共享庫的依賴性和進(jìn)程的相關(guān)性。例如，在UNIX操作系統(tǒng)中，超級用戶能應(yīng)用truss或strace命令來監(jiān)督任何進(jìn)程，當(dāng)一個象grep(用來文本搜索)的命令突然開始與系統(tǒng)日志記錄進(jìn)程通信，攻擊者就會警覺。庫的依賴性問題可以通過使用靜態(tài)聯(lián)接庫來解決。

　　閱讀范文：科學(xué)發(fā)展觀論文我國傳統(tǒng)科學(xué)思想

　　這篇科學(xué)發(fā)展觀論文探討了我國傳統(tǒng)科學(xué)思想，科學(xué)思想是在具體的科學(xué)認(rèn)識活動中，產(chǎn)生、闡述和解釋科學(xué)假說和理論的最一般的概念框架和信念基礎(chǔ)。論文就我國統(tǒng)科學(xué)思想的特點(diǎn)進(jìn)行了分析，并對成因進(jìn)行了初步探析。

轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/7108.html